以COBIT指導(dǎo)信息化項(xiàng)目質(zhì)量管理的探索

摘要：信息化項(xiàng)目質(zhì)量管理的基本方法有很多，包括CMMI、TQM、6西格瑪?shù)?。本文以IT治理為切入點(diǎn)，探索識別典型的IT治理框架——COBIT對信息化項(xiàng)目各階段的質(zhì)量要求，以達(dá)到提升企業(yè)IT治理績效、確保信息化項(xiàng)目投資與企業(yè)戰(zhàn)略目標(biāo)相一致的目的。

關(guān)鍵詞：信息化項(xiàng)目；項(xiàng)目管理；項(xiàng)目質(zhì)量；COBIT；IT治理

1 前言

隨著市場競爭日益激烈，企業(yè)信息化已成為提高企業(yè)國際競爭力、實(shí)現(xiàn)可持續(xù)發(fā)展的必然選擇，是企業(yè)經(jīng)營戰(zhàn)略的重要組成部分。信息化項(xiàng)目對企業(yè)經(jīng)營管理活動意義重大并影響深遠(yuǎn)，因此，確保信息化項(xiàng)目建設(shè)質(zhì)量對于企業(yè)至關(guān)重要（下文對信息化項(xiàng)目主要指企業(yè)軟件開發(fā)/實(shí)施類型項(xiàng)目）。

2 IT治理與COBIT

企業(yè)的IT 投資是否與戰(zhàn)略目標(biāo)相一致，從而構(gòu)筑必要的核心競爭力？這是IT 投資者真正關(guān)心的問題。IT 治理的目標(biāo)是實(shí)現(xiàn)企業(yè)內(nèi)IT 信息、IT 資源、IT 技術(shù)的合理利用，滿足企業(yè)整體戰(zhàn)略目標(biāo)，讓企業(yè)利益在技術(shù)回報(bào)之間取得平衡并獲得更多的價(jià)值和競爭力[1]。越來越多的企業(yè)引入IT治理以保障 IT 價(jià)值、管理與IT 有關(guān)的風(fēng)險(xiǎn)、增加對信息的控制要求。

COBIT(Control Objectives for Information and related Technology) 是一個(gè)權(quán)威性的、國際公認(rèn)的IT 治理控制框架，該框架可用于企業(yè)的業(yè)務(wù)管理層、IT 專業(yè)人士及審計(jì)專業(yè)人員的日常工作。COBIT由信息系統(tǒng)審計(jì)與控制協(xié)會（ISACA）在1996年公布，目前已經(jīng)更新至4.1版。COBIT被引入我國后，日漸受到企業(yè)關(guān)注，被企業(yè)引入作為IT治理框架、指導(dǎo)企業(yè)信息化建設(shè)的實(shí)施，并作為建立和優(yōu)化IT內(nèi)部控制的參考。[2]

為有效治理 IT，評估IT 內(nèi)所需管理的活動與風(fēng)險(xiǎn)是很重要的。COBIT框架將IT治理職責(zé)歸納為計(jì)劃與組織(PO)、獲取與實(shí)施(AI)、支持與交付(DS)、監(jiān)控與評價(jià)(ME)四個(gè)職責(zé)域，并定義了34個(gè)常用流程，每一個(gè)流程均指明了業(yè)務(wù)目標(biāo)與其所支持的 IT 目標(biāo)之間的聯(lián)系，同時(shí)也提供了如何衡量目標(biāo)、關(guān)鍵活動和主要交付物以及由誰負(fù)責(zé)等相關(guān)信息。

3 信息化項(xiàng)目的質(zhì)量管理與COBIT

PMBOK中定義了項(xiàng)目質(zhì)量管理的各個(gè)過程，包括規(guī)劃質(zhì)量、實(shí)施質(zhì)量保證、實(shí)施質(zhì)量控制。其中，規(guī)劃質(zhì)量是識別項(xiàng)目及其產(chǎn)品的質(zhì)量要求和/或標(biāo)準(zhǔn)，并書面描述項(xiàng)目將如何達(dá)到這些要求和/或標(biāo)準(zhǔn)的過程[3]。由此可見，要進(jìn)行良好的質(zhì)量控制，識別質(zhì)量要求至關(guān)重要。

信息化項(xiàng)目的實(shí)施對象是信息系統(tǒng)，系統(tǒng)的運(yùn)用效果是衡量項(xiàng)目是否成功的唯一標(biāo)準(zhǔn)[4]。信息化項(xiàng)目一般結(jié)束于系統(tǒng)的上線或短暫的試運(yùn)行之后，而信息系統(tǒng)的生命周期往往長達(dá)數(shù)年甚至更長。確保信息系統(tǒng)實(shí)現(xiàn)即定的業(yè)務(wù)目標(biāo)，并保證信息信息系統(tǒng)在其生命周期內(nèi)是良好運(yùn)行并可被維護(hù)的，是信息化項(xiàng)目的質(zhì)量目標(biāo)。

作為一個(gè)優(yōu)秀的IT治理框架，COBIT以業(yè)務(wù)為中心、以流程為導(dǎo)向、以控制為基礎(chǔ)、以績效測評為驅(qū)動，涵蓋了從IT規(guī)劃到建設(shè)、運(yùn)營、監(jiān)控的各職責(zé)，定義了流程的主要活動、控制目標(biāo)與績效指標(biāo)。以COBIT定義的流程控制目標(biāo)與績效指標(biāo)中識別出信息化項(xiàng)目各階段的質(zhì)量要求，并以之指導(dǎo)信息化項(xiàng)目質(zhì)量管理，可以提升IT治理績效，確保項(xiàng)目最終實(shí)施效果滿足企業(yè)整體戰(zhàn)略目標(biāo)，使IT投資效益最大化。

COBIT框架的四個(gè)職責(zé)域所涵蓋內(nèi)容如下：

計(jì)劃與組織(PO)：該域涵蓋了戰(zhàn)略和戰(zhàn)術(shù)，致力于識別 IT 為實(shí)現(xiàn)業(yè)務(wù)目標(biāo)作出最佳貢獻(xiàn)的途徑。實(shí)現(xiàn)戰(zhàn)略愿景需要從不同的角度和層次去計(jì)劃、溝通及管理，這需要設(shè)立一個(gè)適當(dāng)?shù)慕M織結(jié)構(gòu)及技術(shù)基礎(chǔ)設(shè)施。

獲取與實(shí)施(AI)：為實(shí)現(xiàn)IT 戰(zhàn)略，應(yīng)確認(rèn)、開發(fā)/采購、實(shí)施IT 解決方案并將其整合到業(yè)務(wù)流程中。此外，該域還涵蓋了現(xiàn)有系統(tǒng)的變更與維護(hù)以確保持續(xù)滿足業(yè)務(wù)目標(biāo)。

交付與支持(DS)：這一領(lǐng)域主要關(guān)注所需服務(wù)的實(shí)際交付情況，包括服務(wù)交付、安全和持續(xù)性管理、用戶服務(wù)支持、數(shù)據(jù)和操作設(shè)施管理。

監(jiān)控與評價(jià)(ME)：應(yīng)定期評估所有IT 流程的質(zhì)量以及與控制要求的符合程度。該領(lǐng)域涉及績效管理、內(nèi)部控制的監(jiān)督、合規(guī)和治理等內(nèi)容。

由上可見，COBIT的四個(gè)域涵蓋了信息化項(xiàng)目實(shí)施全過程：在“計(jì)劃與組織(PO)”職責(zé)域中定義了IT戰(zhàn)略與戰(zhàn)術(shù)，信息化項(xiàng)目按照IT戰(zhàn)略在戰(zhàn)術(shù)計(jì)劃定義的時(shí)候啟動，并按照“計(jì)劃與組織(PO)”職責(zé)域所定義的項(xiàng)目管理要求組織項(xiàng)目工作，同時(shí)“計(jì)劃與組織(PO)”職責(zé)域還為項(xiàng)目定義了其技術(shù)基礎(chǔ)設(shè)施；信息化項(xiàng)目建設(shè)過程中，需要遵循“獲取與實(shí)施(AI)”職責(zé)域所定義的要求，并同時(shí)為“交付與支持(DS)”作好準(zhǔn)備；信息化項(xiàng)目建設(shè)結(jié)束后，項(xiàng)目將按“交付與支持(DS)”職責(zé)域進(jìn)行運(yùn)維支持管理。

4 以COBIT為指導(dǎo)識別信息化項(xiàng)目的質(zhì)量管理要求

一般地，信息化項(xiàng)目可以定義為規(guī)劃/Plan、定義/Define、構(gòu)建/Construct、測試/Test、部署/Deploy五個(gè)階段。在對COBIT的計(jì)劃與組織(PO)、獲取與實(shí)施(AI)、支持與交付(DS)三個(gè)職責(zé)域內(nèi)的流程控制目標(biāo)與績效進(jìn)行分析后，我們可以將這些控制目標(biāo)與績效分解到項(xiàng)目的各階段，作為階段工作質(zhì)量要求，指導(dǎo)項(xiàng)目實(shí)施過程的質(zhì)量控制以及質(zhì)量閥評審?；谝陨纤悸?，結(jié)合筆者的項(xiàng)目質(zhì)量管理經(jīng)驗(yàn)，識別整理出的項(xiàng)目各階段質(zhì)量管理要求如下：

4.1 Plan / 項(xiàng)目規(guī)劃

活動目標(biāo)：識別項(xiàng)目需求，進(jìn)行方案設(shè)計(jì)與可行性分析，最終確定可行、有效的項(xiàng)目方案，并立項(xiàng)、確定獲取方式（包括但不限于確定供應(yīng)商）。

活動流程：圖1. Plan階段工作流程圖（獲取方式以采購為例）

質(zhì)量要求：

PO1 IT戰(zhàn)略規(guī)劃：符合IT戰(zhàn)略與戰(zhàn)術(shù)計(jì)劃，沒有方向上的偏離。

PO2 定義信息架構(gòu)：1）符合信息架構(gòu)規(guī)劃，2）系統(tǒng)間的信息冗余是受控的，3）保證信息的可靠、一致、安全，4）與業(yè)務(wù)戰(zhàn)略匹配。

PO3 確定技術(shù)方向：符合既定的技術(shù)方向。

PO5 IT投資管理：1）有詳細(xì)、合理的IT投資構(gòu)成；2）進(jìn)行投資收益分析，確保 IT 成本、收益、戰(zhàn)略、政策和服務(wù)水平的透明并得到理解。

PO7 人力資源管理：1）項(xiàng)目組織機(jī)構(gòu)（人 員、職責(zé)）定義清晰、準(zhǔn)確，并包含了利益相關(guān)方；2）合理制訂了培訓(xùn)計(jì)劃。

PO10 項(xiàng)目管理：1）按項(xiàng)目管理要求組織項(xiàng)目開展；2）相關(guān)文檔編制/簽署完備。以下各階段同。

AI1 自動化方案識別：1）識別了業(yè)務(wù)功能與技術(shù)需求，并與業(yè)務(wù)保持一致；2）風(fēng)險(xiǎn)評估的合理性與完整性；3）可行性研究；4）需求與可行性研究經(jīng)過業(yè)務(wù)主辦人的同意并簽署。

AI7 系統(tǒng)測試與發(fā)布：1）制訂了合理的測試策略，確保業(yè)務(wù)與技術(shù)風(fēng)險(xiǎn)應(yīng)對措施得到驗(yàn)證。2）隱沒功能性測試外，還包括了對以下內(nèi)容的測試驗(yàn)證：壓力測試（DS3 性能與容量）、運(yùn)營知識文檔驗(yàn)證（AI4 運(yùn)營知識保障）、能夠適當(dāng)?shù)胤乐褂捎阱e(cuò)誤/攻擊/災(zāi)難造成的故障并從故障中恢復(fù)

DS1 服務(wù)水平的定義和管理：1）定義了適當(dāng)?shù)姆?wù)水平協(xié)議SLA，SLA是來源于業(yè)務(wù)需求并以關(guān)鍵業(yè)務(wù)為定義標(biāo)準(zhǔn)。2）服務(wù)水平協(xié)議包括可用性、可靠性、性能、增長的容量、用戶支持、持續(xù)性計(jì)劃和安全考慮。3）服務(wù)水平協(xié)議在《可行性研究報(bào)告》中對其可行性進(jìn)行了設(shè)計(jì)與評估。

4.2 Define / 定義

活動目標(biāo)：詳細(xì)需求調(diào)研與分析，設(shè)計(jì)未來業(yè)務(wù)流程（業(yè)務(wù)藍(lán)圖，TOBE流程），根據(jù)業(yè)務(wù)需求進(jìn)行概要設(shè)計(jì)，明確定義系統(tǒng)功能。

活動流程：圖2.Define階段工作流程圖

質(zhì)量要求：

AI2 應(yīng)用系統(tǒng)開發(fā)及維護(hù)：1）《需求跟蹤矩陣》被更新，所有需求都被設(shè)計(jì)覆蓋；2）系統(tǒng)概要設(shè)計(jì)文檔應(yīng)獲得管理層批準(zhǔn)以確保高層設(shè)計(jì)體現(xiàn)業(yè)務(wù)需求。

AI3 技術(shù)基礎(chǔ)設(shè)施的獲取與維護(hù)：所使用的基礎(chǔ)設(shè)施符合既定的IT 架構(gòu)和技術(shù)標(biāo)準(zhǔn)且是可支持的。

PO2 信息架構(gòu)：1）符合企業(yè)信息架構(gòu)模型；2）數(shù)據(jù)定義完整，來源于業(yè)務(wù)需求。

DS11 數(shù)據(jù)管理：完整識別數(shù)據(jù)管理安全要求，且來源于業(yè)務(wù)需求。

DS4 確保持續(xù)服務(wù)：系統(tǒng)設(shè)計(jì)過程中進(jìn)行了關(guān)鍵業(yè)務(wù)分析，并針對關(guān)鍵失效點(diǎn)提出了保障措施。

DS5 確保系統(tǒng)安全、DS11 數(shù)據(jù)管理、DS12 運(yùn)營管理等：運(yùn)維相關(guān)系統(tǒng)功能已列入系統(tǒng)需求中，如系統(tǒng)監(jiān)控平臺、身份認(rèn)證模式、數(shù)據(jù)歸檔功能等。

4.3 Construct / 構(gòu)建

活動目標(biāo)：根據(jù)Define階段定義的系統(tǒng)功能進(jìn)行系統(tǒng)開發(fā)，并作好測試準(zhǔn)備。

活動流程：圖3. Construct階段工作流程圖

質(zhì)量要求：

AI2 應(yīng)用系統(tǒng)開發(fā)及維護(hù)：1）《需求跟蹤矩陣》被更新，所有需求都被詳細(xì)設(shè)計(jì)覆蓋；2）開發(fā)文檔齊備且符合相關(guān)要求。

AI4 運(yùn)營知識保障：需要在測試階段進(jìn)行測試驗(yàn)證的運(yùn)營知識文檔是否齊備。運(yùn)營知識一般包括（斜體字文檔建設(shè)進(jìn)行測試驗(yàn)證）：1）針對業(yè)務(wù)管理：業(yè)務(wù)藍(lán)圖、服務(wù)持續(xù)性方案；2）針對最終用戶：用戶操作手冊（SOS）、手工操作手冊（MOP)；3）針對運(yùn)營維護(hù)人員：服務(wù)器安裝手冊、客戶端安裝手冊、系統(tǒng)健康檢查表、系統(tǒng)作業(yè)調(diào)度表、備份與恢復(fù)手冊、數(shù)據(jù)管理手冊、用戶權(quán)限管理流程、已知錯(cuò)誤與應(yīng)對措施表。

AI7 系統(tǒng)測試與發(fā)布：1）測試場景/案例覆蓋了《需求跟蹤矩陣》中的所有需求；2）功能測試的場景/案例經(jīng)與業(yè)務(wù)用戶確認(rèn)覆蓋了所有的業(yè)務(wù)場景。

DS11 數(shù)據(jù)管理：1）定義數(shù)據(jù)管理策略，包括：數(shù)據(jù)備份、數(shù)據(jù)歸檔、數(shù)據(jù)銷毀；2）數(shù)據(jù)管理策略滿足業(yè)務(wù)目標(biāo)、組織的安全策略和規(guī)則的要求；3）不存在過設(shè)計(jì)或設(shè)計(jì)不足。

4.4 Test / 測試

活動目標(biāo)：組織開展系統(tǒng)測試工作，保證系統(tǒng)開發(fā)質(zhì)量。

活動流程：圖4. Test階段工作流程圖

質(zhì)量要求：

AI7 系統(tǒng)測試與發(fā)布：1）確保測試工作是按照既有的測試方法論開展；2）在測試流程中修正已識別的重大錯(cuò)誤，并修正后的系統(tǒng)完成了在測試計(jì)劃中識別的一整套測試和任何必須的壓力測試；3）由業(yè)務(wù)管理層評估并批準(zhǔn)測試結(jié)果，確保業(yè)務(wù)需求響應(yīng)與業(yè)務(wù)策略一致。

AI4 運(yùn)營知識保障：1）運(yùn)營知識文檔已被驗(yàn)證通過（文檔詳見本文4.3節(jié)）；2）根據(jù)測試過程中發(fā)現(xiàn)的錯(cuò)誤已更新《已知錯(cuò)誤與應(yīng)對措施表》。

DS 支持與交付：是否為支持與交付作好了準(zhǔn)備。不同項(xiàng)目關(guān)注內(nèi)容有所差異。一般關(guān)注于 DS9 配置管理、DS12 物理環(huán)境管理、DS13 運(yùn)營管理。

4.5 Deploy / 部署

活動目標(biāo)：系統(tǒng)上線前作好上線準(zhǔn)備工作，經(jīng)上線質(zhì)量閥評審?fù)ㄟ^后上線。作好上線后的變更管理。

活動流程：圖5. Deploy階段工作流程圖

質(zhì)量要求：

AI7 系統(tǒng)測試與發(fā)布：1）系統(tǒng)部署策略完備，并建立了上線和回退/撤銷方案，并獲得相關(guān)部門批準(zhǔn)；2）由業(yè)務(wù)管理層評估并批準(zhǔn)測試結(jié)果，確保業(yè)務(wù)需求響應(yīng)與業(yè)務(wù)策略一致。

AI4 運(yùn)營知識保障：運(yùn)營知識文檔已被交付給正確的人員。

DS7 教育和培訓(xùn)用戶：確保上線前必要的培訓(xùn)已被安排并被有效執(zhí)行，至少包括：1）最終用戶培訓(xùn)，2）后臺系統(tǒng)維護(hù)培訓(xùn)， 3）客戶端支持培訓(xùn)。

DS8 服務(wù)臺和事件管理：1）所部署/實(shí)施的服務(wù)要求已被正確傳遞到服務(wù)臺；2）對于影響面大、用戶多的上線工作，已安排并培訓(xùn)足夠的服務(wù)支持人員。

DS9 配置管理：1）新部署/實(shí)施軟/硬件的配置庫是完整的、最新的；2）已識別對已有配置項(xiàng)的影響并被更新已有配置項(xiàng)至最新。

DS11 數(shù)據(jù)管理：數(shù)據(jù)管理策略已被傳遞給運(yùn)維人員，并與之明確了執(zhí)行開始時(shí)間。

DS12 物理環(huán)境管理：項(xiàng)目上線時(shí)間及支持要求已告知物理環(huán)境管理人員。

DS13 運(yùn)營管理：1）已定義了運(yùn)營作業(yè)列表且作業(yè)列表是完備的；2）支持運(yùn)營工作的相關(guān)軟硬件環(huán)境已準(zhǔn)備就署；2）項(xiàng)目上線時(shí)間及支持要求已告知運(yùn)營管理人員。

5 結(jié)束語

從以上質(zhì)量要求可以看到，以COBIT為指導(dǎo)識別信息化項(xiàng)目質(zhì)量管理要求，在項(xiàng)目實(shí)施過程中不僅僅關(guān)注項(xiàng)目周期內(nèi)的開發(fā)質(zhì)量要求，同時(shí)還關(guān)注信息系統(tǒng)與業(yè)務(wù)目標(biāo)的一致性、保證項(xiàng)目所交付的信息系統(tǒng)在整個(gè)生命周期的可支持性，以使得IT投資效益的最大化。

近年來，我國企業(yè)普遍面臨IT 投資黑洞等信息化建設(shè)的深層次問題，IT治理日益受國內(nèi)企業(yè)關(guān)注。IT治理的研究在我國還處于起步與借鑒階段，而COBIT的應(yīng)用也還只是被一些信息化程度非常高的企業(yè)或政府部分采用。本文作為推進(jìn)COBIT在企業(yè)中應(yīng)用的一項(xiàng)探索，權(quán)作拋磚引玉，以期有更多的專業(yè)人士推進(jìn)IT治理與COBIT在我國的應(yīng)用研究與推進(jìn)。

參考文獻(xiàn)

[1]程曉楠. 關(guān)于IT 治理與戰(zhàn)略發(fā)展一致性問題的案例研究. 河南建材, 2011, (2).

[2]鄭煦平，陽杰. COBIT的解讀及其在我國的應(yīng)用. 生產(chǎn)力研究, 2009, (17) .

[3]（美）項(xiàng)目管理協(xié)會. 項(xiàng)目管理知識體系指南（PMBOK指南）第4版. 2008.

[4]李勁華，信息化項(xiàng)目實(shí)施與應(yīng)用的一個(gè)質(zhì)量標(biāo)準(zhǔn)體系. ZDNet管理軟件頻道, 2008-02-19.

http://ec.zdnet.com.cn/managesoft/2008/0219/739334.shtml

[5]IT治理研究院（IT Governance Institute，ITGI）. COBIT 4.1.

[6]吳乃忠. 運(yùn)用COBIT模型分析企業(yè)信息化項(xiàng)目風(fēng)險(xiǎn). 硅谷, 2010, (10) .

[7]董榆梅，夏建光. 基于COBIT的ERP實(shí)施績效評價(jià)研究. 云南財(cái)經(jīng)大學(xué)學(xué)報(bào), 2007, (S1) .

作者簡介：

李小玲（1973-），女，漢，廣西柳州人，上汽通用五菱汽車股份有限公司IT部 系統(tǒng)與數(shù)據(jù)集成主任工程師，制冷工程專業(yè)，柳州市制造業(yè)信息化專家小組成員，信息化從業(yè)12年。

注：本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文